Aktuelle Cybersecurity Trends aus den ESET-Labs

Von PromptLocking über Fake-Captcha-Wellen und NFC-Missbrauch bis hin zu internationalen Takedowns: Beim Besuch internationaler Journalistinnen und Journalisten in den ESET-Labs in Bratislava wurde deutlich, wie schnell sich Bedrohungen verändern – und wie stark der Technologieanbieter inzwischen in globale Ermittlungsprozesse eingebunden ist.

Server schimmern hinter Glas, auf Bildschirmen laufen Karten mit aktuellen Telemetriedaten. „Das hier ist alles, was unsere Kunden in den letzten 24 Stunden gesehen haben, als übersichtliches Lagebild dargestellt", erklärt Ondrej Kubovič, Security Awareness Specialist, während sich die Animation über die Weltkarte bewegt – je nach Tageszeit deutlich heller oder ruhiger.

Die Demonstration zeigt eindrucksvoll, wie global und gleichzeitig granular moderne Cyberabwehr geworden ist. Doch die Screens sind erst der Anfang im Headquarter des weltweit tätigen, gründer- und eigentümergeführten europäischen Cybersecurity Anbieters, der seine Produkte und Lösungen sowohl im Privatkundenbereich als auch im sehr sensiblen Unternehmens- und Governmentbereich anbietet.

Mehrstufige Analyse statt bloßer Signaturen

Kubovič beginnt mit einem Überblick darüber, wie ESET Updates verteilt und neue Bedrohungen erkennt. „Wir haben gelernt, nichts auf einmal zu aktualisieren“, erinnert er an Erfahrungen aus den 90ern. Heute existieren mehrere parallele Mechanismen: robuste vier- bis sechsstündige Updates, eine cloudbasierte Reputationsdatenbank und dynamische Analysen.

Besonders wichtig ist die Telemetrie. Sie sendet verdächtige Dateien – sofern der Nutzer zugestimmt hat – zur Untersuchung ins Labor. „Wenn es etwas komplett Neues ist, landet es am Tisch unserer Analysten“, so Kubovič. Diese nutzen Debugger, Deobfuskatoren und eigens entwickelte Tools, um Muster zu erkennen. In komplexen Fällen kommt LiveGuard zum Einsatz – eine Cloudumgebung, die verdächtige Dateien automatisiert detoniert. Das System liefert Ergebnisse „innerhalb von Sekunden bis fünf Minuten“, erklärt Kubovič. Der Dienst ist inzwischen in allen Business-Lizenzen inkludiert, wie die lokale Vertretung betont.

MDR-Teams fangen APTs ab und jagen Angreifer durchs Netzwerk

Ein Highlight ist die Erläuterung der Arbeitsweisen und Möglichkeiten der MDR-Teams (Managed Detection and Response). Kubovič beschreibt einen Fall aus den USA, bei dem ESET einem staatlich unterstützten chinesischen (Advanced Persistent Threat) APT-Akteur auf der Spur war.

„Wir fanden sie auf einem Rechner. Als wir sie isolierten, sprangen sie auf einen anderen. Das ging ein oder zwei Tage so – wie Whack-a-Mole“, erzählt er. Am Ende konnte das Team die Angreifer vollständig entfernen.

Mit mehr als 100 Analysten gehören diese Dienste zu den am schnellsten wachsenden Bereichen. Sie erkennen nicht nur Auffälligkeiten, sondern liefern konkrete Handlungsempfehlungen. „Wir sagen nicht nur: ‚Hier ist etwas‘. Wir sagen: ‚Das müssen Sie tun, um es zu stoppen‘“, so Kubovič.

Fake-Captcha und ClickFix als Massenphänomen

Ein Schwerpunkt sind sogenannte ClickFix- oder Fake-Captcha-Kampagnen. Das Prinzip: Nutzerinnen und Nutzer landen auf einer gefälschten Webseite, die wie ein legitimer Sicherheitscheck wirkt. Doch wer den Anweisungen folgt – etwa „Windows+R“, „Ctrl+V“, „Enter“ – führt in Wahrheit einen kopierten PowerShell-Befehl aus. „Drei Klicks – und der Code läuft“, sagt Kubovič. Die Methode funktioniere so gut, „weil Menschen Captchas gewohnt sind“.

Ein großer Teil dieser Kampagnen war auf LumaStealer zurückzuführen. Der Infostealer wurde als Service-Modell angeboten – inklusive Technik, Support und sogar einem Marktplatz für gestohlene Daten.

LumaStealer und andere Zerschlagungen

LumaStealer war der jüngste Fall einer mehrmonatigen Operation, an der ESET beteiligt war. Die Analysten stellten den Behörden umfangreiche Daten zur Verfügung – darunter rund 3.300 Command-and-Control-Server, die zur Zerschlagung abgeschaltet wurden. Luma war nicht nur technisch aggressiv, sondern auch geschäftlich ausgefeilt: „Sie hatten sogar einen Telegram-Bot und einen eigenen Marketplace“, erläutert Kubovič. Nach der Abschaltung brachen die Fake-Captcha-Erkennungen in der Telemetrie ein – ein direkter Indikator für den Erfolg der Maßnahme.

Ein weiteres Beispiel ist Danabot. Auch hier lieferte ESET Erkenntnisse zu 1.000 C&C-Servern, die im Rahmen einer internationalen Aktion beschlagnahmt wurden

NFC-Malware wächst vom Experiment zum Trend

Neben Social Engineering wurden auch neue Angriffe auf (Near Field Communication) NFC-Funktionalitäten gezeigt. Nutzer werden durch SMS oder Anrufe überzeugt, eine angebliche „Sicherheits-App“ der Bank zu installieren. Diese leitet Kartendaten und PIN des Nutzers direkt an die Angreifer weiter. ESET entdeckte die Welle zunächst in Polen, Tschechien, Ungarn und Georgien. Die Fallzahlen lagen anfangs niedrig, stiegen aber deutlich an. Einige Varianten übertragen Kartendaten live auf Geräte von Money Mules, die damit weltweit einkaufen. „Wir hatten anfangs nur wenige Fälle pro Woche – jetzt sind es hunderte“, schilderte Kubovič.

Ransomware-Gruppen bekämpfen sich gegenseitig

Sehr interessant ist auch der Einblick in die Rivalitäten der Ransomware-Szene. In den Telemetriedaten und Beobachtungen der Analysten zeigte sich, dass Gruppen zunehmend gegenseitig ihre Leak-Seiten oder Server kompromittieren. Mehrfach verschoben sich dadurch die Machtverhältnisse zwischen bekannten Gruppen. Kubovič schildert beispielsweise Fälle, in denen Gruppen öffentlich gegeneinander wetterten und Infrastruktur lahmlegten – ein ungewöhnlicher, aber zunehmend sichtbarer Trend.

„Der Kampf um Marktanteile und deren Ausbau hat sich auch in der Cybercrime Szene etabliert - zuzusehen, wie sie sich selbst dabei aus dem Markt nehmen, beobachten wir zunehmend, und zugegeben mit Freude“, schildert Kubovič.

PromptLocking als neue Herausforderung

Senior Malware Researcher Anton Cherepanov liefert einen weiteren Höhepunkt: Die Analyse von PromptLock, einer Schadsoftware, die mit KI-Mechanismen arbeitet und in den ESET-Labs tiefgreifend untersucht wurde. Cherepanov ist einer jener Analysten, die seit Jahren staatlich unterstützte Gruppen verfolgen – etwa APT-Aktivitäten, die er seit 2013 kontinuierlich beobachtet und dokumentiert. Diese Erfahrung prägt seinen Blick auf neue Bedrohungsgattungen wie PromptLock.

PromptLock als Beispiel einer Malware, die sich nicht mehr ausschließlich auf statische Verschleierungstechniken verlässt, sondern ihr Verhalten dynamisch anpasst. Cherepanov betont, dass solche Samples oft so einzigartig gebaut seien, dass sie „auf dem Tisch eines Analysten landen müssen“, weil automatisierte Systeme nicht mehr ausreichen. Aus dem Transkript geht hervor, wie er die Vorgehensweise beschreibt: Erst werden die Obfuskationen entfernt, dann werden Muster verglichen, die er aus jahrelanger Analyse kennt. Viele Erkennungen basieren auf genau diesem Erfahrungswissen – Cherepanov erläutert: ein erfahrener Analyst könne in „fünf Sekunden“ beurteilen, ob ein Sample bösartig ist, weil die Methode immer wieder vorkommt.

PromptLock steht für eine neue Art von Schadsoftware, die schneller variiert, gezielter verschleiert und sich besser an Umgebung und Analyse anpasst. Für ESET ist diese Entwicklung deshalb so relevant, weil sie zeigt, wie sehr sich Malware von klassischen Signaturen und Mustern entfernt. Die Forscher betonten, dass Malware heute so verändert sein kann, „dass niemand sie zuvor gesehen hat“, selbst wenn sie technisch auf bekannten Vorlagen basiert. Diese Kombination aus Neuartigkeit, KI-ähnlichem Verhalten und starker Verschleierung macht PromptLock für Analysten wie Cherepanov besonders herausfordernd.

Ein Blick in ein sich ständig veränderndes Ökosystem

Der Überblick verdeutlicht, wie eng Forschung, Telemetrie, Kundenservice und internationale Ermittlungsteams zusammenarbeiten. Malware-Ökosysteme verändern sich ständig – und immer öfter entscheiden wenige Tage oder Stunden darüber, ob ein Angriff große Schäden anrichtet.

„Man muss die Angreifer verstehen – wie sie denken, welche Tools sie benutzen und welche Schritte sie als Nächstes machen“, erklärt einer der Analysten im Labor. Geschwindigkeit und Möglichkeiten der Angriffe wachsen – aber auch jene der Abwehr.

it&d business Redaktion

Die von ESET bereitgestellten englischsprachigen Präsentationen finden Sie hier:

• Takedown send ripples through the lanscape

• ESET PromptLock Detection

Sehen Sie sich zusätzlich die Statements von Michael Schröder, Head of Product Management bei ESET zum Thema Cybersecurity während des it&d business Future Talks auf ittbusiness.at an